Como criar uma senha forte — e parar de esquecer de vez

Passo a passo — o que fazer

1. 1

   Use frases longas, não sequências curtas

   Escolha uma frase de 4 a 6 palavras aleatórias — por exemplo, 'cadeira-limão-nuvem-foguete-janela'. Conforme o NIST SP 800-63B, o comprimento importa muito mais do que a presença de símbolos ou maiúsculas. Uma frase de 20 caracteres é exponencialmente mais segura do que 'S3nha!2024' com 9.

2. 2

   Nunca reutilize a mesma senha em dois serviços

   Quando um site sofre vazamento, criminosos testam as credenciais roubadas em dezenas de outros serviços num ataque chamado credential stuffing. Se você usa a mesma senha no e-mail e no banco, comprometer um compromete o outro. Uma senha diferente por conta é a regra mais importante.

3. 3

   Adote um gerenciador de senhas

   Ferramentas como Bitwarden (gratuito e de código aberto), 1Password ou KeePassXC geram e armazenam senhas únicas e longas para cada conta. Você precisa lembrar apenas de uma única senha-mestra forte — o gerenciador cuida do resto. É mais seguro do que anotar em papel ou salvar no navegador sem proteção extra.

4. 4

   Ative o segundo fator de autenticação (2FA)

   Mesmo que alguém descubra sua senha, o 2FA exige uma segunda prova de identidade — um código gerado por aplicativo (Google Authenticator, Aegis) ou uma chave física (YubiKey). Prefira aplicativos de autenticação ou chaves FIDO2 ao SMS, que pode ser interceptado em ataques de SIM swap.

5. 5

   Verifique se sua senha já vazou

   Acesse HaveIBeenPwned.com e digite seu e-mail. O serviço compara com bancos de dados de mais de 12 bilhões de credenciais vazadas em todo o mundo e avisa quais contas foram expostas. Se o resultado indicar vazamento, troque a senha daquele serviço imediatamente — e em qualquer outro onde você a reutilizou.

6. 6

   Troque senhas apenas quando necessário

   O NIST SP 800-63B eliminou a recomendação de trocar senhas periodicamente (a cada 30, 60 ou 90 dias) por não haver evidência de que isso melhora a segurança. Troque uma senha quando houver suspeita de comprometimento, após um vazamento confirmado ou ao encerrar um acesso compartilhado — não por calendário.

7. 7

   Migre para passkeys sempre que possível

   Passkeys substituem a senha por um par de chaves criptográficas: uma fica no seu dispositivo (celular, computador), a outra no servidor do serviço. Você se autentica com biometria ou PIN local — nada é transmitido que possa ser interceptado ou vazado. Google, Apple, Microsoft e centenas de sites já suportam passkeys.

8. 8

   Configure a recuperação de conta com segurança

   E-mails e perguntas de segurança de recuperação são alvos frequentes. Use um endereço de e-mail dedicado à recuperação (protegido com senha única e 2FA forte), responda às perguntas de segurança com respostas falsas aleatórias (e as guarde no gerenciador), e ative notificações de login para detectar acessos suspeitos em tempo real.

Por que comprimento bate complexidade — a lógica por trás do NIST

Por décadas, o conselho padrão foi: use maiúsculas, minúsculas, números e símbolos especiais. Esse modelo foi proposto em 2003 e seu próprio criador, Bill Burr, se arrependeu publicamente da recomendação em 2017. O problema é que força as pessoas a criar senhas difíceis de lembrar e fáceis de quebrar por máquinas.

O NIST SP 800-63B (publicado em 2017, atualizado em 2024) inverteu a lógica: o que dificulta um ataque de força bruta é o número de possibilidades — e cada caractere adicional multiplica esse número exponencialmente. Uma frase de quatro palavras comuns como 'telhado-barco-espelho-queijo' tem mais de 10^20 combinações possíveis. Uma senha de 8 caracteres com símbolos, mesmo aleatória, tem na casa de 10^14.

Para o usuário, isso significa um caminho mais simples: pense em imagens absurdas ou histórias curtas ('elefante-empilhadeira-nuvem-pizza') e você tem uma senha de alta entropia que é genuinamente mais fácil de lembrar — e incomparavelmente mais difícil de quebrar por força bruta.

Gerenciadores de senhas: a solução definitiva para o problema de memória

A raiz do problema de senhas fracas é cognitiva: seres humanos não conseguem memorizar dezenas de senhas longas e únicas. Gerenciadores de senhas resolvem isso armazenando credenciais em um cofre criptografado (geralmente com AES-256), acessível por uma única senha-mestra forte.

Bitwarden é gratuito, de código aberto e auditado independentemente — uma escolha sólida para uso pessoal. 1Password e Dashlane oferecem planos pagos com recursos adicionais. Para quem prefere controle total, KeePassXC armazena o cofre localmente, sem nenhum serviço em nuvem envolvido.

Além de armazenar, esses gerenciadores geram senhas aleatórias de 20 ou mais caracteres com um clique, preenchem formulários automaticamente e alertam quando uma senha está comprometida em um vazamento. A curva de aprendizado é de minutos; o ganho de segurança é permanente.

Passkeys: o futuro sem senhas que já está disponível hoje

Passkeys são credenciais baseadas no padrão FIDO2/WebAuthn que eliminam a senha completamente. Em vez de digitar uma sequência de caracteres, você se autentica com biometria (impressão digital, rosto) ou PIN — e a criptografia de chave pública garante que nenhum segredo compartilhável trafega pela rede.

Como funcionam na prática: quando você cria uma passkey no Google, Apple ou outro serviço, uma chave privada é gerada e fica armazenada no seu dispositivo (protegida pelo chip de segurança do hardware). O servidor guarda apenas a chave pública, que é matematicamente inútil sem a privada. Mesmo que o servidor sofra um vazamento, não há senha para roubar.

Em 2026, Google, Apple, Microsoft, GitHub, PayPal e centenas de outros serviços já suportam passkeys. A adoção é simples: acesse as configurações de segurança da sua conta e procure por 'passkey' ou 'chave de acesso'. Para empresas, passkeys com FIDO2 eliminam o vetor de phishing de credenciais — o ataque mais comum em ambientes corporativos.

Dois fatores de autenticação: a rede de segurança quando a senha falha

Nenhuma senha é inviolável para sempre. O 2FA (autenticação em dois fatores) adiciona uma segunda camada: mesmo que alguém obtenha sua senha, ainda precisa de um segundo elemento que só você possui. Isso transforma a maioria dos ataques remotos em fracassos práticos.

Existem três categorias de segundo fator, em ordem crescente de segurança: SMS (código enviado por mensagem — conveniente, mas vulnerável a SIM swap), aplicativos de autenticação como Google Authenticator, Aegis ou Authy (código gerado localmente, válido por 30 segundos — muito mais seguro que SMS), e chaves físicas FIDO2 como YubiKey ou Google Titan (resistentes a phishing — o melhor segundo fator disponível).

Para contas críticas — e-mail principal, banco, gerenciador de senhas — use no mínimo um aplicativo de autenticação. Para contas corporativas que processam dados sensíveis, chaves FIDO2 físicas são o padrão recomendado por regulamentações como LGPD, ISO 27001 e PCI DSS.

Da proteção pessoal à política corporativa: o que muda no ambiente empresarial

As boas práticas individuais se tornam políticas formais no ambiente corporativo. Uma empresa com 10 funcionários já precisa de regras claras: senha mínima de 15 caracteres, gerenciador corporativo (Bitwarden Teams, 1Password Business), MFA obrigatório para todos os sistemas e proibição de reutilização de senhas entre sistemas internos e externos.

Para organizações maiores, o Single Sign-On (SSO) centraliza o acesso: um funcionário usa uma única identidade corporativa (Microsoft Entra, Okta, Google Workspace) para acessar dezenas de sistemas. Isso simplifica o gerenciamento, facilita o offboarding imediato quando alguém sai e permite aplicar MFA FIDO2 de forma consistente em toda a organização.

O vazamento de uma credencial corporativa pode custar muito mais do que o de uma pessoal. Ransomwares, comprometimento de e-mail corporativo (BEC) e exfiltração de dados quase sempre começam com uma credencial fraca ou reutilizada. A Decripte atende exclusivamente empresas — de 1 a mais de 100 mil funcionários — que precisam estruturar ou revisar sua política de segurança de identidade e acesso. Se a sua empresa não tem uma política formal de senhas hoje, isso é uma lacuna crítica a corrigir. Conheça o plano gratuito de Gestão de Ameaças ou fale com nossa equipe em decripte.com.br/planos.

Termos importantes

Gerenciador de senhas

Software que gera, armazena e preenche automaticamente senhas únicas e complexas para cada conta, protegendo-as em um cofre criptografado acessível por uma única senha-mestra. Exemplos: Bitwarden, 1Password, KeePassXC.

Passphrase

Senha composta por uma sequência de palavras comuns e aleatórias, geralmente separadas por espaços ou hifens — por exemplo, 'corvo-laranja-telhado-golfinho'. Mais longa e fácil de memorizar do que senhas tradicionais, com entropia equivalente ou superior. Recomendada pelo NIST SP 800-63B.

Passkey

Credencial de autenticação sem senha baseada no padrão FIDO2/WebAuthn. Substitui a senha por um par de chaves criptográficas: a chave privada fica no dispositivo do usuário (protegida por biometria ou PIN), e a chave pública fica no servidor. Elimina os riscos de phishing e vazamento de senhas.

2FA (Autenticação em Dois Fatores)

Método de segurança que exige dois elementos independentes para confirmar uma identidade: algo que você sabe (senha), algo que você tem (aplicativo autenticador, chave física) ou algo que você é (biometria). Mesmo com a senha comprometida, o acesso é bloqueado sem o segundo fator.

Perguntas frequentes